Офіційне представництво концерну TÜV Austria на території України.

icon
04053, Київ,
вул. Січових Стрільців, 50, оф. 2Б
Дивитись на карті
icon
Тел.: 380 50 419 6912 Факс: 380 44 344 9526

КОНФІДЕНЦІЙНІСТЬ, КИБЕРБЕЗПЕКА І ISO 27001. ЯК ВОНИ ПОВ’ЯЗАНІ?

Турботи про конфіденційність старі як людство. Через захист свого тіла і власності в давнину вона стала тісним зв’язком з тим, коли, як і в якій мірі дані та інформація про людину передаються іншим. І незалежно від тіла, власності чи інформації, конфіденційність залежить від трьох критичних факторів.

По-перше, хоча люди прагнуть захистити свою конфіденційність. Вони воліють жертвувати нею в обмін на передбачувані вигоди, такі як гроші, престиж або зручність, ігноруючи потенційні небезпеки та збитки.

По-друге, бажання уряду/організацій приймати закони про конфіденційність не завжди відповідає інтересам окремих осіб. Іноді це робиться в ім’я “великого блага”.

І нарешті технології. Як ключовий момент у боротьбі з конфіденційністю технології все частіше надають людям, організаціям та урядам кошти для більш швидкого збору, агрегування та аналізу дедалі більшої та більшої кількості інформації. Випадкові або навмисні порушення конфіденційності, стаючи все більш серйозними та всеосяжними.

З іншого боку, таке ж технологічне середовище, відоме як кіберпростір, може надати рішення, які допоможуть належним чином захистити конфіденційність приватних осіб, бізнесу організацій та урядів. У той же час дозволити їм повністю безпечно насолоджуватися сучасним життям. Ці рішення разом із іншими нетехнологічними заходами відомі як кібербезпека. Мета цієї статті — уявити, як концепції конфіденційності слід розглядати в діяльності кіберпростору, і як стандарти, зокрема ISO 27001 і структури, вже доступні на ринку, можуть допомогти в комплексному управлінні, впровадженні, експлуатації та покращенні кібербезпеки.

Що слід вважати конфіденційністю?

Хоча деякі значення конфіденційності можуть бути простими: «знаходження далеко від інших людей» або «знаходження далеко від суспільної уваги», межі та зміст того, що вважається приватним, і того, що є вторгненням у приватне життя, різняться між культурами та людьми ( деякі мови навіть не мають спеціального слова для позначення «конфіденційність»). Однак часто виникають такі загальні теми:

Право бути залишеним у спокої: коли людина вибирає усамітнення від уваги інших, якщо вона бажає це зробити, включаючи стан імунітету від перевірки або спостереження в приватній обстановці.

Обмежений доступ: можливість брати участь у групі, незалежно від розміру, без того, щоб інші збирали інформацію про них.

Контроль за інформацією: ступінь, у якому людина може впливати на інформацію про себе.

Стан конфіденційності: конфіденційність — це не бінарна річ, ступінь якої залежить від того, скільки людей ізольовані від самого себе. Розглянуто деякі загальні рівні:

самотність (повне відділення від інших),

близькість (тільки пара чи невелика група людей поділяють стосунки),

анонімність (коли хтось хоче бути на публіці, щоб його не впізнали),

резерв (коли хтось вимагає від інших поважати його/її потребу обмежити передачу інформації, що стосується себе).

Секретність: відноситься до будь-якої інформації, яку людина бажає приховати, тому що, на її думку, вона може бути використана на шкоду їй. Важливо відзначити, що, хоча ці концепції в основному орієнтовані на людей, вони певною мірою застосовні також до організацій та урядів (наприклад, організації та уряди також прагнуть приховати інформацію, яку вони вважають, що може бути використана ним на шкоду).Крім того, важливо враховувати, що конфіденційність може розглядатися як щось абсолютне, оскільки зловмисники часто використовують аспекти конфіденційності для приховування своєї діяльності (що є одним із головних аргументів для тих, хто хоче обмежити права на конфіденційність).

Ризики для конфіденційності в кіберпросторі

Коли ми розглядаємо «кіберпростір» як «електронний світ, створений взаємопов’язаними мережами інформаційних технологій та інформацією в цих мережах», причому Інтернет є його найбільш яскравим прикладом, а також поточними та очікуваними рівнями обчислювальної потужності, ми можемо припустити таке ризик-простір:

Сценарії загрозВразливостіРизики
Потужні та портативні обчислювальні пристрої (наприклад, смартфони, планшети та ноутбуки) частіше полегшені для збирання, агрегування та розповсюдження інформаціїЗбільшення кількості людей, які виконують діяльність у кіберпросторіЗбір інформації, не за основним призначенням
Збільшення числа сторонніх відносин (наприклад, постачальників з’єднань та додатків)Збільшення кількості джерел збору даних (наприклад, IP-камери, біометричні дані, GPS, RFID тощо. буд.)Збереження інформації понад встановлений термін використання
Підвищення концентрації інфраструктури кіберпростору (наприклад, центрів обробки даних та комунікаційних магістралей)Неосвічені/необізнані користувачі про конфіденційність у кіберпросторіРозкриття конфіденційної інформації про своє життя чи бізнес
Закони та постанови, що порушують конфіденційністьВідсутність проблем із захистом конфіденційності при розробці додатків/системПросування невірної інформації, що ставить під загрозу репутацію
Професіоналізація зловмисників (наприклад, окремих зломщиків)Більш цінні дані зберігаються в електронному вигляді та обробляються в масовому та централізованому масштабі (наприклад, сховища даних)Крадіжка особистих даних
Інформація обмінюється, об’єднується та зв’язується разом із більшою частотоюПрограми/системи без належного захисту конфіденційності функції/елементи керування
Використання загальних даних для доступу до кількох систем